Routovanie

Millo · Příspěvekod **Millo** » 19 years ago

Mam 3 ether rozhrania:
Public1 555.555.555.555
Local1 666.666.666.666
Local2 777.777.777.777

Mam nastavene NATko, aby oba local isli na public (klasicke zdielanie internetu).Ako mam nastavit mikrotik aby som sa dostal z local1 na local2 a naopak nie? Skusal som to ale nejde mi to, neviem kde robim chybu.

Dik

milankovar · Příspěvekod **milankovar** » 19 years ago

Asi bych to resil firewallem, ne routovanim, tudy cesta nepovede.

Millo · Příspěvekod **Millo** » 19 years ago

njn, skusal som to ale ked zakazem prechod z local 2 na local3,tak automaticky nemam sancu ani len opingovat local2, neviem ako oznacit spojenia vytvorene local3 do local tak aby dostali odpoved z local2..potrebujem z local3 sa dostat do local2 ale naopak nie..

milankovar · Příspěvekod **milankovar** » 19 years ago

To je spatne, musi se do src adress dat zdroj do destination cil a do action operaci s paketem
src local3 dst local2 action accept "vse z local3 projde na local2"
src local2 dst local3 action drop "vse z local2 na local3 se zahodi"

douby · Příspěvekod **douby** » 19 years ago

myslim ze takhle to fungovat nebude, protoze:

vezmeme si napr. ping
ten se vysle ze subnetu local1 do subnetu local2(dle navodu projde) a pak na nej reaguje zarizeni v subnetu local2 a posle zpet odpoved na local1(dle navodu neprojde).

Nejsem si jist, ale v linuxu by se to s iptables takhle chovalo...

a ted prostor pro mou teorii:

znackovat v mangle SPOJENI ktery byly vytvoreny z local1 a sly na local2 a dat jim ACCEPT na obou ifacech. Potom uz jen drop to co jde z local2 na local1....

Tak nejak

Jardas · Příspěvekod **Jardas** » 19 years ago

Zatím sem pisatel nenapsal důvod, proč to potřebuje, třeba se to dá vyřešit úplně jinak. Pokud se např. potřebuje dostat z jednoho subnetu do druhého jen z jedné nebo dvou adres, tak si povolím prostup jen těmto adresám (klidně do celého druhého subnetu nebo zas jen na některé adresy) a hotovo.
Protože se jedná samozřejmě vždy o oboustrannou komunikaci (a z prvního subnetu do druhého nebo naopak), nelze jednoduše povolit přístup jen z jedné strany do druhé.

skrebon · Příspěvekod **skrebon** » 19 years ago

Millo ked tak sa ozvi, hodim ti demo, nech nebadas moc dlho

znackovat v mangle SPOJENI

nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?

douby · Příspěvekod **douby** » 19 years ago

skrebon píše:nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?

omarkovat -> pak podle marku acceptovat ve forward a ostatni dropovat. tak jsem to napsal i prvne ne?

mozna by to markovani slo vynechat. Radeji jdu spat, nic nevim, nikomu nerozumim :twisted:

skrebon · Příspěvekod **skrebon** » 19 years ago

douby píše:
skrebon píše:nemalo by to byt vo forwarde FW sekcie? V mangle to straca vyznam, pokial sa to nasledne nepouzije ako vychodzi packet mark vo FW nie?
omarkovat -> pak podle marku acceptovat ve forward a ostatni dropovat. tak jsem to napsal i prvne ne? mozna by to markovani slo vynechat. Radeji jdu spat, nic nevim, nikomu nerozumim

Ja mozno citam medzi riadkami :-)

Len sam som to nepochopil dobre, tak som sa pytal

kuba_lysa · Příspěvekod **kuba_lysa** » 19 years ago

V MT jsem newbie, ale na Linuxu bych použil stavovej firewall, MT to snad taky umí, ne?